Re:あまりにもお粗末 (#1970948) | 米シティグループ顧客情報流出、その手口は単純だった

「米シティグループ顧客情報流出、その手口は単純だった」記事へのコメント

記事ページを表示すべてのコメント取得

検索78コメント Log In/Create an Account

あまりにもお粗末 (スコア:3, 興味深い)

by duenmynoth (34577)

普通なら基本設計の時点で却下されるような駄目仕様
・・・だけどもうIT業界自体が「普通」じゃないんだろうな、と思わされる

＃こういうのがあるから「JUnitのカバレッジ100%だから絶対大丈夫！」とか言われても信用できないんですよね
- Re: (スコア:1)
  
  by goji (949)
  
  基本設計の時点でダメって、REST [wikipedia.org]的なURL構造がダメってこと？認証が行われないのはもちろんバグだし、それがテストであぶり出されないのは問題だけれどそれはURL構造とは関係ない。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    URLに秘密情報を入れてはいけないってほとんど常識の部類だと思ったんだけど
    そう油断して基本設計でわざわざ明記しなかったことがこの事故につながったのか。とても良くわかった
    - Re: (スコア:1)
      
      by goji (949)
      
      参考までに教えて欲しいのだけれど、FORMから口座番号をPOSTするのどれだけの違いがありますか？
      - Re:あまりにもお粗末 (スコア:2, すばらしい洞察)
        
        by esumi (15966) on 2011年06月15日 21時57分 (#1970948)
        
        不要である筈の、初回のログイン認証後であっても、毎回のsubmitで口座番号情報を送信させている事に不審を抱き、ちょっと番号いじってみたら
        実際ログイン後でも毎回その情報が利用されサーバ側から読み込まれる口座情報が変化するアホな仕様だったって事ですねぇ
        
        確かに本質的な間違いはＵＲＬにあったとかＧＥＴだったとかＰＯＳＴだったとかでなく、ログイン認証後の口座情報識別を毎回させていた事にあるように受け取れます
        
        #誰か気付けよ
        
        シェア
        
        親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

米シティグループ顧客情報流出、その手口は単純だった More ログイン

「米シティグループ顧客情報流出、その手口は単純だった」記事へのコメント

あまりにもお粗末 (スコア:3, 興味深い)

Re: (スコア:1)

Re: (スコア:0)

Re: (スコア:1)

Re:あまりにもお粗末 (スコア:2, すばらしい洞察)

スラド